Die DSGVO gilt Ihrem Anwendungsbereich und Schutzzweck nach für personenbezogene Daten. Vom Anwendungsbereich der DSGVO vollständig ausgenommen sind dagegen (vollständig) anonyme Daten. Um dem Anwendungsbereich der DSGVO zu entgehen und/oder Risiken von Datenmissbrauch vorzubeugen, werden im beruflichen Alltag daher nicht selten personenbezogene Daten pseudonymisiert.
In einer für Unternehmen, Behörden und Forschungseinrichtungen äußerst praxisrelevanten Entscheidung hat der Europäische Gerichtshof (EuGH) mit Urteil vom 04.09.2025 (Az. C-413/23 P) entschieden, dass auch pseudonymisierte Daten zumindest für denjenigen personenbezogene Daten bleiben, dem eine (Re-)Identifizierung möglich ist.
Der Sachverhalt
Der SRB, eine zentrale EU-Agentur, die für die Abwicklung von insolvenzbedrohten Banken zuständig ist, hatte Gläubiger einer Bank dazu aufgefordert, ihre Forderungen anzumelden und Stellung zu nehmen. Nach Eingang zahlreicher Unterlagen pseudonymisierte der SRB die Gläubiger mit einer 33-stelligen Identifikationsnummer und leitete die Unterlagen an eine Wirtschaftsprüfungsgesellschaft weiter. Es konnte jedoch nur der SRB anhand des Codes die Stellungnahmen mit den jeweiligen Gläubigern in Verbindung bringen.
Einen Hinweis, dass ihre Daten an die Wirtschaftsprüfungsgesellschaft weitergeleitet werden könnten, enthielt die an die Gläubiger gerichtete Datenschutzerklärung des SRB nicht.
Der Europäische Datenschutzbeauftrage (EDSB) sah hierin einen Verstoß gegen Informationspflichten der Verordnung (EU) 2018/1725 (ein Pendant zur DSGVO auf der Ebene der EU-Institutionen) und verwarnte den SRB. Der SRB klagte gegen diese Verwarnung, weil die weitergegebenen Daten seiner Meinung nach nicht personenbezogen seien.
In erster Instanz gab das Gericht der Europäischen Union (EuG) dem EDSB recht und erklärte die Verwarnung des SRB für nichtig.
Die Entscheidung
In zweiter Instanz hob der EUGH dieses Urteil nunmehr jedoch auf und verwies den Rechtsstreit an das EuG zurück.
Für die Zwecke der Anwendung der Informationspflicht der Verordnung 2018/1725 sei davon auszugehen, dass die Identifizierbarkeit der betroffenen Person zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen ist.
Daraus ergebe sich, dass die dem SRB obliegende Informationspflicht vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon bestand, ob es sich dabei aus der Sicht der Wirtschaftsprüfungsgesellschaft nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.
Da der SRB hier über die Informationen verfügte, die eine Zuordnung der übermittelten Stellungnahmen zur betroffenen Person ermöglichen, blieben diese jedenfalls für den SRB auch trotz der Pseudonymisierung personenbezogen.
Ob die Daten aufgrund der Pseudonymisierung auch für die Wirtschaftsprüfungsgesellschaft nicht personenbezogen waren, ließ der EuGH offen.
Dies setze zum einen voraus, dass die Wirtschaftsprüfer nicht in der Lage gewesen wären, die vom SRB ergriffenen Maßnahmen zur Pseudonymisierung aufzuheben. Zum anderen müssten die Maßnahmen auch tatsächlich geeignet gewesen sein, zu verhindern, dass die betroffenen Personen für die Wirtschaftsprüfer anhand anderer Mittel, wie etwa eines Abgleichs mit anderen Elementen, identifizierbar sind.
Auch der EDSB hatte dies nicht geprüft, weil er davon ausgegangen war, dass pseudonymisierte Daten aufgrund des Vorliegens von Informationen, die eine Re-Identifizierung ermöglichen stets personenbezogene Daten seien.
Dem hat der EuGH nun eine ausdrückliche Absage erteilt.
Fazit
Wer hoffte, sich bereits durch die Pseudonymisierung personenbezogener Daten pauschal dem Anwendungsbereich des Datenschutzes entziehen zu können, dessen Erwartungen müssen leider enttäuscht werden.
Es kommt genauer vielmehr auf den Einzelfall und die Identifizierbarkeit zum Zeitpunkt der Datenerhebung/Datenverarbeitung an und darauf, für wen die Daten identifizierbar sein können.
Wie der vorliegende Fall zeigt, können ein und dieselben pseudonymisierten Daten für die einen re-identifizierbar und damit personenbezogen sein (hier den SRB) und für die anderen nicht (hier gglfs. die Wirtschaftsprüfungsgesellschaft).
Lediglich vollständig anonymisierte Daten dürften gesichert als nicht-personenbezogen aufgefasst werden können, m.a.W. solche personenbezogenen Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (vgl. Erwägungsgrund Nr. 26 DSGVO) und zwar dauerhaft und von niemandem.
Sie fragen sich, ob und wie der Datenschutz bei Ihrem Projekt beachtet werden muss oder haben ein anderes datenschutzrechtliches Problem?
Nehmen Sie jetzt Kontakt auf.